Le Gouvernement a décidé de rendre public l'avis du Conseil d’État sur le traitement informatique relatif aux cartes nationales d'identité et aux passeports.
Le contexte
Le 12 janvier 2016, le Premier ministre a consulté le Conseil d’État sur la possibilité de créer par décret un traitement de données informatique appelé TES (titre électronique sécurisé), regroupant les données relatives aux cartes nationales d'identité et aux passeports. Il a notamment demandé au Conseil d’État de vérifier si ce traitement respectait le droit au respect de la vie privée garanti par l’article 2 de la Déclaration des droits de l'homme et du citoyen et par l’article 8 de la Convention de sauvegarde des droits de l'homme et des libertés fondamentales.
La création d’un tel traitement de données informatique avait déjà été envisagée dans le cadre d’une proposition de loi d’origine sénatoriale qui devait aboutir à la loi du 27 mars 2012 relative à la protection de l’identité mais elle avait été censurée par une décision du 22 mars 2012 du Conseil constitutionnel.
Le Conseil constitutionnel n’avait pas censuré le principe même du TES. Il avait en effet jugé qu’un traitement de données informatique permettant de recueillir et de conserver les données nécessaires à la délivrance des cartes d’identité et des passeports permettrait « de sécuriser la délivrance de ces titres et d'améliorer l'efficacité de la lutte contre la fraude ». Il en avait déduit que la création d’un tel traitement était justifiée par un motif d’intérêt général.
Toutefois, le Conseil constitutionnel avait constaté que le traitement de données informatique, tel qu’il était alors envisagé, aurait permis non seulement de vérifier l’identité avancée par le demandeur, mais également d’identifier toute personne figurant dans le fichier à partir des données biométriques, notamment ses empreintes digitales. Il avait également constaté que les données contenues dans le traitement auraient pu être consultées dans certains cas à titre préventif, dans un cadre non judiciaire.
Le Conseil constitutionnel en avait déduit que le traitement prévu par la loi qui lui était soumise portait une atteinte à la vie privée disproportionnée au but poursuivi, il avait donc censuré la disposition qui créait le traitement en question.
L’avis du Conseil d’État
Dans l’avis rendu le 23 février 2016, le Conseil d’État a indiqué au Gouvernement que si la création du TES pouvait s’opérer par décret en Conseil d’État pris après avis de la Commission nationale de l’informatique et des libertés, ainsi que le prévoit l’article 27 de la loi informatique et libertés du 6 janvier 1978, il était aussi loisible au Gouvernement, d’emprunter la voie législative, compte tenu de l’ampleur du fichier envisagé et de la sensibilité des données contenues.
S’agissant du traitement de données informatiques lui-même, le Conseil d’État a observé au préalable que la collecte et le traitement d'informations personnelles constituent une ingérence dans la vie privée, qui ne peut être autorisée que si elle poursuit un objectif d'intérêt général et si elle est mise en œuvre de manière adéquate et proportionnée à son objectif.
Le Conseil d’État a d’abord estimé, comme l’avait déjà fait le Conseil constitutionnel, que la création d'un traitement commun aux demandes de carte d'identité et de passeports répondait à un objectif d'intérêt général, en permettant de détecter l’usurpation d’identité ou la production de faux documents, en facilitant les démarches des usagers et en accélérant le traitement des demandes.
Toutefois, eu égard à l'ampleur et au caractère particulièrement sensible du TES, qui pourrait rassembler les données relatives à l’identité ainsi que les photographies et les empreintes digitales numérisées de plusieurs dizaines de millions de personnes, le Conseil d’État a souligné que la mise en œuvre de ce traitement de données informatique devait obéir à des règles de sécurité strictes. Il a indiqué les garanties à prendre afin que le TES ne puisse pas être utilisé à d'autres fins que celle pour lesquelles il était conçu. Le Conseil d’État a vérifié que seuls les agents habilités, chargés du traitement des demandes de titres, pouvaient accéder au traitement y compris aux données biométriques, au moyen d’un code et d'une carte à puce individuelle. La liste de ces agents est identique à celle des personnes qui peuvent actuellement accéder au fichier des passeports. Il s’agit principalement des agents des communes et des préfectures chargés d’instruire les demandes de titres. Encore faut-il préciser que ces agents peuvent seulement accéder au traitement de données informatiques pour enregistrer une nouvelle demande de titre, et qu’ils n’ont pas accès aux données des autres personnes figurant déjà dans le fichier.
Le Conseil d’État a surtout constaté que, contrairement au traitement ayant fait l’objet de la décision du Conseil constitutionnel, le TES permettait seulement de vérifier l’identité avancée par le demandeur d’un titre et non de rechercher l’identité d’une personne à son insu grâce à sa photographie ou à ses empreintes. En effet, l’entrée dans le fichier ne peut s’opérer qu’à partir des données nominatives, qui permettent ensuite d'accéder aux empreintes ou à la photographie afin de vérifier l’identité du demandeur. Mais cela ne fonctionne pas en sens inverse : il est impossible d’effectuer une recherche à partir des données biométriques.
Enfin, le Conseil d’État a relevé que la durée de conservation des données serait inchangée par rapport à la durée actuelle relative aux passeports ou aux cartes nationales d’identité.
Le Conseil d’État en a conclu que le TES, s’il était mis en œuvre dans les conditions énoncées par le gouvernement, ne méconnaîtrait pas le droit au respect de la vie privée.